Modèle d'auditE-Learning - Sensibilisation RGPD - Niveau 1

e-learning

Testez vos connaissances sur le Règlement générale sur la protection des données (RGPD). A travers ce questionnaire, vous évaluez rapidement votre niveau de connaissance et participez à l'obligation de formation des personnes clés sur le sujet de la protection des données à caractère personnel.

1. Généralités

1.1. Quand est entré en application le RGPD ?

Le 25 mai 2018

Le 24 mai 2016

1.2. A quoi sert le RGPD ?

Renforcer la confiance des consommateurs dans l'offre de services numériques

Renforcer l'encadrement des pratiques en matière de collecte et d'utilisation des données à caractère personnel.

1.3. Qui est concerné par le RGPD ?

Les organismes privés établis sur le territoire de l'Union européenne traitant des données personnelles

Les organismes publiques établis sur le territoire de l'Union européenne traitant des données personnelles

Les organismes privés ou publiques établis sur le territoire de l'Union européenne

Les organismes privés ou publiques traitant des données personnelles établis sur le territoire de l'Union européenne ou si leur activité cible directement des résidents européens

2. Données personnelles et traitement de données personnelles

2.1. Qu'est-ce qu'une donnée personnelle ?

Toute information se rapportant à une personne physique identifiée

Toute information se rapportant à une personne physique identifiée ou identifiable

2.2. Une donnée chiffrée demeure une donnée personnelle ?

Oui

Non

2.3. Une donnée codée demeure une donnée personnelle ?

Oui

Non

2.4. Une donnée anonymisée demeure une donnée personnelle ?

Oui

Non

2.5. Une donnée pseudonymisée demeure une donnée personnelle ?

Oui

Non

2.6. Qu'est-ce qu'un traitement de données personnelles ?

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel

2.7. Les données personnelles collectées pour un traitement de données peuvent elles être conservées sans limite de durée ?

Oui dans le secteur public

Oui dans les secteur privé

Oui dans le secteur privé et public

Non

3. Les différents rôles

1. DPO

1.1. Qu'est-ce qu'un DPO ?

Un délégué à la protection des données

Un data protection officer

Il s'agit d'un responsable de traitement

1.2. Quel est le rôle du DPO ?

Chargé de la gestion globale de l’application du RGPD

Conseiller et accompagner l'organisme dans la mise en conformité RGPD

1.3. Le DPO est nécessairement un avocat ou juriste ?

Oui

Non

1.4. La désignation d'un DPO est-elle toujours obligatoire ?

Oui

Non

1.5. Dans quel(s) cas la désignation d'un DPO est-elle obligatoire ?

Lorsque le traitement est effectué par une autorité publique ou un organisme public

Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées

Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions

2. Responsable de traitement

2.1. Qu'est-ce qu'un responsable de traitement ?

Une personne physique ou morale déterminant les finalités et les moyens du traitement

Une autorité publique déterminant les finalités et les moyens du traitement

Une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, vérifie et conseille pour la bonne application du RGPD

Une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement

2.2. Peut-il y avoir plusieurs responsables de traitement pour un même traitement ?

Oui

Non

3. Sous traitant

3.1. Qu'est-ce qu'un sous-traitant ?

Une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte de la personne concernée

Une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement

Une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, vérifie et conseille pour la bonne application du RGPD

3.2. Le sous traitant doit constituer un registre de ses traitements ?

Oui

Non

4. Destinataires

4.1. Qu'est-ce qu'un destinataire dans un traitement de données personnelles ?

La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers

Le responsable du traitement qui reçoit communication de données à caractère personnel

4.2. Un sous-traitant peut-il être destinataire de données personnelles ?

Oui

Non

4. Les finalités et bases légales du traitement

4.1. Un traitement de données personnelles peut-il avoir plusieurs finalités ?

Oui

Non

4.2. Est-il possible d'indiquer plusieurs bases légales à la finalité du traitement de données ?

Oui

Non

4.3. Est-il possible de traiter ultérieurement des données personnelles d'un premier traitement pour d'autres finalités ?

Oui dans tous les cas

Non jamais

Oui lorsqu'il existe une compatibilité des finalités

5. Les transfert hors UE

5.1. Le RGPD pose le principe fondamental selon lequel tout transfert de données personnelles en dehors de l'UE/EEE est interdit

Vrai

Faux

5.2. Existe t'il des justifications pour les responsables de traitement et les sous-traitants permettant de transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) ?

Oui il faut notamment assurer un niveau de protection des données suffisant et approprié

Non la seule justification à un transfert de données hors UE ou EEE est le consentement de la personne concernée

5.3. Quels outils juridiques permettent d’encadrer les transferts ?

Décisions d'adéquation

Garanties appropriées

Dérogations

Des exceptions

5.4. Faut-il répertorier les transferts dans le registre des traitements ?

Oui le responsable de traitement et sous traitant doivent répertorier les transferts

Oui le responsable de traitement doit répertorier les transferts

Non

6. Les exercices des droits

6.1. Qui est concerné par l'exercice des droits ?

Uniquement organismes privés établis en Europe

Les organismes privés établis hors Union européenne

Les organismes publiques ou privés établis en Europe ou établies hors de l’Union Européenne mais traitant des données personnelles d'européens

6.2. Les entreprises ou organisations traitant des données personnelles ont l'obligation de faciliter l'exercice des droits ?

Oui

Non

6.3. Quel est le délai pour apporter une réponse à une demande d'exercice de droit ?

1 semaine

2 semaines

1 mois

2 mois

4 mois

6 mois

6.4. Le délai pour apporter une réponse à une demande d'exercice de droit peut-il être augmenté ?

Oui en cas de demande complexe

Non le délai est jugé suffisant pour apporter une réponse à toute demande

7. Les violations de données

7.1. Qu'est-ce qu'une violation de données ?

Tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Tout incident de sécurité, d’origine malveillante et se produisant de manière intentionnelle ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

La destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite

7.2. Qui est concerné par les violations de données ?

Tous les organismes, publics comme privés et quelle que soit leur taille, sont soumis à ces obligations dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une violation de données personnelles.

Seulement les fournisseurs de services de communication électronique

Les sous-traitants, qui traitent des données personnelles pour le compte d’un organisme responsable du traitement, ont également des obligations en matière de violation

7.3. Quel est le délai maximal de notification à la CNIL pour le responsable de traitement en cas de violation de données ?

48 heures

96 heures

72 heures

36 heures

7.4. Les personnes concernées par la violation de données doivent elles être informées de la violation de données ?

Non jamais

Oui les personnes concernées sont toujours informées de la violation de données

Oui les personnes concernées sont informées de la violation de données présentant un risque élevé pour leurs droits et libertés

7.5. En cas de risque élevé, est-il possible déroger à l'obligation d'information des personnes concernées ?

Oui lorsque les données sont protégées par des mesures de protection techniques et organisationnelles appropriées et sont ainsi incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès

Non, en cas de risque élevé pour les droits et libertés, les personnes concernées doivent systématiquement être informées

Créé le:11/08/2023

Mis à jour le :29/07/2024